Har du styr på, om du er dataansvarlig eller databehandler?

Med den nye EU-persondataforordning følger krav til et fælles dataansvar. Som virksomhed er det vigtigt at have styr på, hvornår du er henholdsvis dataansvarlig og databehandler. Få overblik over forskellen mellem de to samt reglerne om det fælles dataansvar.

Når den nye EU-persondataforordning træder i kraft den 25. maj 2018 følger særlige regler om et fælles dataansvar. Af reglerne fremgår det, at dataansvarlige kan gøres solidarisk ansvarlige for brud på datasikkerheden i forbindelse med behandling af persondata. Dertil stilles der krav til, at virksomhederne ved aftale klart afgrænser, hvem der bærer ansvaret for de forskellige dele af databehandlingen.

Som virksomhed er det derfor vigtigt at gøre sig klart, hvorvidt man behandler personoplysninger som dataansvarlig eller databehandler, herunder om man er selvstændig dataansvarlig eller bærer et fælles dataansvar med andre virksomheder.

Den 15. november 2017 udkom Datatilsynet med en vejledning om dataansvarlige og databehandlere. Vejledningen er i denne sammenhæng en god rettesnor.

Definition af dataansvarlige og databehandlere

Det er først og fremmest afgørende, at man har styr på, hvorvidt man behandler personoplysninger som dataansvarlig eller databehandler. Dette skyldes, at der gælder forskellige regler og sanktioner, alt efter hvilken rolle man indtager. Sondringen har desuden betydning for det fælles dataansvar.

Den nye persondataforordning definerer den dataansvarlige som:

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Heroverfor står definitionen af databehandleren, der lyder som følger:

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

Det er således særligt vigtigt, hvem der bestemmer formålet med behandlingen, samt hvordan, dvs. med hvilke hjælpemidler, behandlingen foretages.

Datatilsynets vejledning oplister desuden en række momenter, der kan tillægges betydning, når det skal afgøres, om virksomheden behandler oplysninger som dataansvarlig eller databehandler, herunder bl.a. om:

  • Oplysningerne behandles på virksomhedens vegne
  • Virksomheden er ved lov eller lignende pålagt en opgave vedrørende behandling af oplysningerne
  • Virksomheden har udstedt instrukser vedrørende behandlingen til den anden part
  • Virksomheden fører kontrol med den anden parts behandling af oplysninger
  • Den registrerede har en forventning om, at virksomheden er ansvarlig for behandlingen
  • Virksomheden har tilbagekaldelses- og sletningsbeføjelser i forhold til behandlingen af oplysningerne hos den anden part

Som det fremgår af ordlyden på definitionen af den dataansvarlige, kan der forekomme situationer, hvor flere dataansvarlige sammen afgør formålet og hjælpemidlerne ved behandlingen. Er dette tilfældet, er der tale om et fælles dataansvar.

Hvad dækker det det fælles dataansvar over?

Det fælles dataansvar forudsætter, at der er tale om to dataansvarlige, der i fællesskab har ansvar for en behandling af persondata. Det er yderligere et krav, at alle parter kan bruge oplysningerne til egne formål.

I den nye EU-persondataforordning er det fælles dataansvar direkte reguleret. En definition af det fælles dataansvar følger af forordningens artikel 26, der som noget nyt giver en direkte regulering af, hvilke krav de fælles dataansvarlige virksomheder og myndigheder skal overholde.

Ifølge bestemmelsen skal virksomhederne på en gennemsigtig måde redegøre for, hvordan de sikrer compliance med reglerne i forordningen. Dette betyder bl.a., at virksomhederne skal gøre sig overvejelser om, hvordan den registrerede kan håndhæve sine rettigheder, herunder bl.a.:

  • Retten til indsigt
  • Retten til berigtigelse af oplysninger
  • Retten til sletning af oplysninger
  • Retten til at gøre Indsigelser
  • Retten til dataportabilitet

Ovenstående skal sikres ved, at de to (eller flere dataansvarlige) indgår en aftale, der skarpt afgrænser, hvor og hvordan behandlingen af personoplysninger sker hos de respektive parter. I praksis skal der laves en skriftlig aftale, der tager stilling til de områder, hvor der sker behandling af persondata.

Bestemmelsen tilsiger i forlængelse heraf, at der skal være adgang for den registrerede til at se indholdet af den aftalte ansvarsfordeling mellem parterne, samt at den registrerede skal kunne henvende sig til begge parter med henblik på at håndhæve sine rettigheder.

Det er vigtigt at understrege, at parterne bærer et fælles ansvar for overholdelsen af reglerne. Sker der et brud på persondatasikkerheden med et erstatningsansvar til følge, hæfter parterne således solidarisk for det fulde beløb.

I hvilke situationer ser man et fælles dataansvar?

Det fælles dataansvar kan forekomme i flere situationer. Datatilsynet bruger i vejledningen et eksempel, hvor to myndigheder ved lov er forpligtet til at benytte det samme lønsystem.

Af eksemplet fremgår det, at den ene myndighed behandler oplysningerne i systemet med henblik på at udbetale løn til sine medarbejdere. Denne behandling sker samtidig med, at den anden myndighed benytter systemet til at føre kontrol med selvsamme lønudbetalinger, samt til udførelse af statistikker mv. Det er dermed det samme hjælpemiddel (lønsystemet), der bruges dels til et fælles formål (korrekt lønudbetaling) og dels til egne formål (statistisk mv.). Begge parter er således afhængige af de indtastede oplysninger og det pågældende hjælpemiddel.

Udover ovenstående eksempel er det værd at fremhæve situationer, hvor virksomheder er koncernforbundne eller i øvrigt indgår i samarbejdsordninger. Dette kan f.eks. ske ved, at to koncernbundne virksomheder benytter de samme online platforme (hjælpemidler), hvor persondata behandles til både egne og fælles formål.

Et konkret eksempel kan være den situation, hvor virksomheder gør brug af handelsagenter, dvs. hvor et selskab for en agenturgiver (et andet selskab) påtager sig visse forpligtelser i relation til at indhente tilbud til, eller indgå aftaler for, agenturgiveren i dennes navn.

Det afgørende for, om der foreligger et fælles dataansvar, vil i en sådan situation være, at handelsagenten og agenturgiveren f.eks. deler en online platform eller et markedsføringsinstrument, hvor den behandlede persondata er underlagt en fælles proces, der er i hver parts interesse. Det vil her bl.a. blive tillagt betydning, om hver part har ret til at bruge oplysninger til egne formål, og om hver part har bestemmende indflydelse på formålet og fremgangsmåden vedrørende behandlingen.

Er din virksomhed klar?

Er du i tvivl om, hvorvidt I overholder reglerne i den nye EU-persondataforordning anbefaler vi altid en professionel vurdering.

Dette gælder især, hvis I er i tvivl om, hvordan I behandler personoplysninger, herunder om I som virksomhed er dataansvarlig eller databehandler – samt om I er ene dataansvarlig, eller om der er flere solidarisk hæftende dataansvarlige.

Vores specialister sidder altid klar til en uforpligtende snak om din virksomheds case.

Læs også vores Q&A: 10 ofte stillede spørgsmål om databeskyttelsesforordningen (GDPR)

Læs mere om fokusområdet for persondata

Læs mere